Herramienta OSINT para identificar amenazas de ciberocupación a dominios

Muchas brechas de redes y sistemas de grandes corporaciones comienzan con un correo electrónico de Phishing bien diseñado y persuasivo. Las organizaciones y empresas para evitar estar brechas, deberían formar continuamente a su personal para detectar correos electrónicos falsos y potencialmente maliciosos.

El Phishing consiste en el envío de correos electrónicos que simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que al ser pulsado, lleva a páginas Web falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que en realidad, va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un zombie, son utilizadas para el envió de Spam y Phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estés ataques. En la actualidad estamos viendo que estas redes son utilizadas para ataques de ransonware con el caso de NetWalker, el malware de tipo ransomware empleado por los cibercirminales, que se está usando contra hospitales de Estados Unidos, España y Francia.

OpenSquat es un proyecto de inteligencia de código abierto (OSINT) para identificar amenazas de ciberocupación a dominios específicos como: ocupación de dominios, typosquatting, ataques de homógrafos de IDN, phishing y estafas.
Sirve para identificar amenazas de ocupación cibernética a empresas o dominios específicos, como:

• Campañas de phishing
• Ocupación de dominios
• Typo squatting
• Bitsquatting
• Ataques homógrafos IDN
• Dominios Doppenganger
• Otras estafas relacionadas con marcas/dominios

Admite algunas características clave como:

• Actualización automática de dominio recién registrado (una vez al día)
• Distancia de Levenshtein para calcular la similitud de palabras
• Obtiene dominios de phishing activos y conocidos (proyecto de base de datos de phishing)
• Detección de ataque de homógrafos IDN
• Integración con VirusTotal
• Integración con el servicio DNS Quad9
• Utilice diferentes niveles de umbral de confianza para ajustar
• Guarde la salida en diferentes formatos (txt, JSON y CSV)
• Puede integrarse con otras herramientas de inteligencia de amenazas y sumideros de DNS

Ejemplos de uso:
# Ejecución con opciones predeterminadas
    python opensquat.py
# para todas las opciones
    python opensquat.py -h
# Con validación de DNS (quad9)
    python opensquat.py –dns
# Búsqueda de subdominios
    python opensquat.py –subdomains
# Buscar dominios con puertos abiertos 80/443
    python opensquat.py –portcheck
# Con validación de phishing (base de datos de phishing)
    python opensquat.py –phishing phish_results.txt
# Guardar salida como JSON
    python opensquat.py -o ejemplo.json -t json
# Guardar salida como CSV
    python opensquat.py -o ejemplo.csv -t csv
# Realice una búsqueda de transparencia de certificados (ct)
    python opensquat.py –ct
# Búsqueda de períodos: registros del último mes (predeterminado: día)
    python opensquat.py -p mes
# Ajustar el nivel de confianza. Los valores más bajos traen más falsos positivos
# (0: muy alto, 1: alto (predeterminado), 2: medio, 3: bajo, 4: muy bajo
    python opensquat.py -c 2
# Todas las opciones de validación
    python opensquat.py –phishing phishing_domains.txt –dns –ct –subdomains –portcheck
Más información y descarga de openSquat:
https://github.com/atenreiro/opensquat